CMS「Movable type 4.0 以上」における緊急性の高い脆弱性についての注意喚起

この度、CMS「Movable Type 4.0 以上」(Advanced、Premium も含む)の環境において緊急性の高い脆弱性が発見され、提供元より修正版が公開されました。

これを受け、弊社サーバー内においても「Movable Type」をご利用頂いているお客様がいらっしゃるため、以下の通りご案内申し上げます。

古いバージョンの「Movable Type」を使用されているお客様におかれましては、速やかに以下の内容をご確認頂き、最新バージョン(Movable Type 7 r.5301、6.8.7及びPremium 1.53)へのアップデートを行ってくださいますようお願いいたします。

既に「Movable Type」を利用していないものの、サーバー内にインストール済みのデータが残っているお客様は削除をお願いいたします。

脆弱性を確認したバージョン 既にサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン

脆弱性の影響 Movable Type の XMLRPC API には、コマンド・インジェクションの脆弱性が存在します。
本脆弱性を修正済みのMovable Typeにバージョンアップされない場合、遠隔の第三者によって任意のPerlスクリプトを実行される可能性があります。その結果、任意のOSコマンドを実行される可能性があります。

対応方法(アップデート方法) Movable Type 提供元のシックス・アパート株式会社より本脆弱性を修正したバージョンが公開されています。
以下のサイトをご確認いただき、速やかにバージョンアップを実施してください。
アップデートの前に必ず現データのバックアップを取得してください。 速やかにバージョンアップが行えない場合は XMLRPC API 機能を無効化することで影響を回避・軽減することが可能となります。対応方法など詳細については、以下のサイトよりご確認ください。

[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート) - SixApart

その他 本脆弱性に限らず、WordPressをはじめとしたプログラムをご利用のお客様は、セキュリティ上の観点から最新版へのアップデートを行い、プログラムを最新の状態に保つようご協力をお願いいたします。 このたびの脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策をご検討ください。